منوعات

فخ للبرمجيات الخبيثة

لم أكن أرى المهمة السادسة مستحيلة ولا أعتقد أنني سأراها ذات يوم. لقد تحملت الخامس إلى النهاية ، في حالة من الرعب التام ، في وطني بعد رحلة طويلة وأسبوع عمل شاق ، لمجرد أن المشهد تم تصويره في مكتبنا الحديث الجديد في لندن . وكانت مهمة مستحيلة للغاية ، حقًا. لا ، هذا ليس بالنسبة لي. صفعة ، بانج ، سحق ، تحطم ، أسير الحرب ، واو. لا ، أنا أفضل شيء أكثر إثارة بعض الشيء ، ومثيرة للتفكير ومثيرة للاهتمام ببساطة. بعد كل شيء ، لدي بالفعل القليل جدا من الوقت لنضيعه!

أنا حقا لا أحترم توم كروز وشركته ، أليس كذلك؟ لكن انتظر قليلا. علي أن أقدم لهم ما يستحقونه في مشهد واحد جيد على الأقل جيدًا (أي ، مثير للتفكير ومثير للاهتمام!). الشخص الذي يحتاج فيه الأشخاص الطيبون إلى الشرير لإدانة زملائه الأشرار ، أو شيء من هذا القبيل. لذلك أنشأوا بيئة وهمية في “مستشفى” مع “CNN” على “التلفزيون” تبث تقريرا عن Atomic Armageddon. راضي تمامًا عن بث بيانه المروع في جميع أنحاء العالم ، والشرير يتخلى عن أصدقائه (أو كان رمز وصول؟) بعد عقد اتفاق مع محققيه. عفوا. هنا هو الفيديو .

لماذا يعجبني هذا المشهد كثيرًا؟ لأنه في الواقع ، يشرح بشكل جيد إحدى طرق الكشف … التهديدات الإلكترونية لم يسبق لها مثيل من قبل! في الواقع هناك العديد من الطرق من هذا النوع ، فهي تختلف حسب مجال التطبيق ، والكفاءة ، واستخدام الموارد وغيرها من المعالم (أتحدث بانتظام هنا). ولكن هناك دائمًا ما يبدو بارزًا : المحاكاة (التي كتبت عليها كثيرًا هنا من قبل).

كما هو الحال في فيلم Mission Impossible ، يقوم المحاكي بإطلاق الكائن المدروس في بيئة اصطناعية معزولة ، مما يدفعه للكشف عن حقده.

لكن هذا النهج له عيب خطير: البيئة اصطناعية. يبذل المحاكي قصارى جهده لجعل هذه البيئة الاصطناعية تبدو قدر الإمكان لبيئة نظام تشغيل حقيقية ، ولكن لا يزال بإمكان البرامج الضارة الأكثر ذكاءً أن تميزها عن الواقع. يرى المحاكي بعد ذلك كيف تعرفت عليه البرامج الضارة ، وتقوم بتجميعها وتحسين مضاهاة ، وما إلى ذلك في دورة لا نهاية لها تفتح بانتظام نافذة ثغرة أمنية على جهاز كمبيوتر محمي. المشكلة الأساسية هي أنه لا يوجد محاكي حتى الآن هو صورة البصق لنظام التشغيل الحقيقي.

من ناحية أخرى ، هناك أسلوب آخر في التحليل السلوكي للأجسام المشبوهة: التحليل على جهاز افتراضي على نظام تشغيل حقيقي . ولما لا ؟ إذا لم يقطعها المحاكي تمامًا تمامًا ، فجرّب جهازًا افتراضيًا حقيقيًا! سيكون “استجوابًا” مثاليًا ، يتم في بيئة حقيقية وليس مصطنعًا ، ولكن دون عواقب سلبية حقيقية.

عند سماع هذا المفهوم ، قد يسارع البعض إلى التساؤل عن سبب عدم التفكير في ذلك من قبل. بعد كل شيء ، أصبحت المحاكاة الافتراضية تقنية رئيسية منذ عام 1992. حسنًا ، اتضح أنها ليست بهذه البساطة.

أولاً ، إن تحليل الأشياء المشبوهة في جهاز ظاهري هو عملية تتطلب موارد ، مناسبة فقط لحلول أمان المؤسسات الثقيلة ، حيث يجب إجراء التحليل بشكل مكثف بحيث لا يوجد الخبث لا يمر عبر الدفاعات. لسوء الحظ ، بالنسبة لأجهزة الكمبيوتر الشخصية ، ناهيك عن الهواتف الذكية ، لم يتم تكييف هذه التقنية بعد.

ثانيا ، هذه الأشياء موجودة في الواقع. في الواقع، نحن بالفعل باستخدام هذه التكنولوجيا في المنزل، من قبل K ompany لإجراء تحقيقات داخلية. ولكن فيما يتعلق بالمنتجات الجاهزة للتسويق ، لا يزال هناك القليل المتاح. أطلق المنافسون منتجات مماثلة ، لكن كفاءتها رديئة. عادة ، تقتصر هذه المنتجات على جمع التسجيل والتحليل الأساسي.

ثالثًا ، يعد بدء تشغيل ملف على جهاز افتراضي مجرد بداية لعملية طويلة وحساسة للغاية. بعد كل شيء ، فإن الغرض من التمرين هو إبراز خبث كائن ما ، ولهذا تحتاج إلى برنامج مراقبة ذكي ، وتحليل تسجيل وسلوك ، وتعديل مستمر نماذج الإجراءات الخطرة ، والحماية من نصائح مكافحة مضاهاة ، وتحسين الأداء وأكثر من ذلك.

أستطيع أن أقول دون تواضع زائف أننا بالفعل متقدمون على الكوكب بأسره!

في الآونة الأخيرة ، حصلنا على براءة اختراع أمريكية ( US1033339301 ) لإنشاء بيئة مناسبة لجهاز افتراضي لتحليل سريع وشامل للأجسام المشبوهة. إليك كيف تعمل:

  • يتم إنشاء الأجهزة الظاهرية (لأنواع مختلفة من الكائنات) مع معلمات تضمن التنفيذ الأمثل ومعدل الكشف الأقصى.
  • يعمل برنامج Hypervisor الخاص بجهاز افتراضي جنبًا إلى جنب مع تسجيل نظام سلوك جسم ما وتحليله للنظام ، بمساعدة قواعد بيانات قابلة للتحديث لأنماط السلوك المشبوه والاستدلال ومنطق ردود الفعل على الإجراءات وأكثر من ذلك.
  • في حالة اكتشاف إجراءات مشبوهة ، يقدم نظام التحليلات تغييرات في عملية تنفيذ الكائن على جهاز افتراضي لتشجيع الكائن على إظهار نية ضارة. على سبيل المثال ، يمكن للنظام إنشاء ملفات وتعديل السجل وتسريع الوقت وما إلى ذلك.

هذه النقطة الأخيرة هي الميزة الفريدة واللذيذة في تقنيتنا. اسمحوا لي أن أقدم لكم مثالا لتوضيح كيف تعمل.

يكتشف النظام أن الملف “نائم” عند بدء التشغيل ولم يعد يظهر علامات على النشاط. وذلك لأنه يمكن برمجة الكائن بحيث لا يقوم بأي شيء بهدوء لعدة دقائق (ساعات) حتى بداية النشاط الضار. عندما يبدأ في عدم القيام بأي شيء ، فإننا نعجل الوقت داخل الجهاز الافتراضي لقضاء دقيقة واحدة وثلاث وخمس دقائق وحتى أكثر من مليون دقيقة في الثانية. لا تتغير وظيفة الملف الممسوح ضوئيًا ، بينما يتم تقليل وقت الانتظار بالمئات (أو الآلاف) من المرات. وإذا قررت “البرمجيات الخبيثة” ، بعد “مجموعها” ، التحقق من ساعة النظام (هل حددت؟) ، فسيتم خداعها للاعتقاد بأنها فعلت وستواصل مهمتها. الخبيثة ، تعريض نفسه للعمل.

مثال آخر:

الكائن يستخدم مشكلة عدم حصانة في مكتبة معينة أو محاولة تغيير محتويات ملف أو سجل. في البداية ، باستخدام الدالة fopen () ، تحاول فتح المكتبة (أو الملف أو السجل) ، وإذا لم تتمكن (لا توجد مكتبة ، أو لا يمكن الوصول إلى الملف) ، لذلك فهو يستسلم. في مثل هذا السيناريو ، نقوم بتغيير (بسرعة) القيمة المرجعة للدالة fopen () من “الملف المفقود” إلى “الملف الموجود” (أو ، إذا لزم الأمر ، نقوم بإنشاء الملف نفسه وملؤه بالمحتوى المناسب) ثم نلاحظ ببساطة كيف يتصرف الكائن.

مثل هذا النهج يعمل أيضًا بشكل جيد جدًا في ظروف الشجرة المنطقية لسلوك كائن ما. على سبيل المثال: إذا كان هناك ملف A وملف B ، فسيتم تعديل الملف C وتتم المهمة. ومع ذلك ، لا نعرف ما الذي سيفعله البرنامج الذي تم تحليله إذا كان هناك ملف واحد فقط أو ملف B. واحد ، لذلك ، نقوم بتشغيل التكرار الموازي ونقول للبرنامج المشبوه أن الملف A موجود ولكن ليس B ، ثم نحلل بشكل أعمق نشاط الشجرة المنطقية.

من المهم ملاحظة أن قواعد الاستجابة لتنفيذ الملف يتم تكوينها بواسطة قواعد بيانات خارجية يسهل تحديثها. لا تحتاج إلى إعادة تطوير المحرك بالكامل لإضافة منطق جديد ، فقط صف بشكل صحيح العديد من السيناريوهات المحتملة للسلوك الضار وإجراء تحديث بنقرة واحدة.

وهكذا ، باختصار ، هذه التكنولوجيا تعمل. سيتم إضافته قريبًا إلى KATA ، وسيتم توزيعه أيضًا في السوق كحل قائم بذاته للشركات ، Kaspersky Sandbox .

زر الذهاب إلى الأعلى
إغلاق